10.2 CA業務運行管理要求

10.2.1　概述

CA應制訂業務運行管理規范來指導CA日常業務開展。業務運行管理規范通常應包括CA管理制度、信息系統安全操作與維護、密鑰介質管理制度以及客戶服務等。

10.2.2　CA管理制度

CA管理制度包括CA運行場所進出管理制度、客戶信息保密制度、CA工作人員管理制度、機房安全管理制度等，應按國家有關標準執行。

10.2.3　安全操作與維護規范

10.2.3.1　系統管理

系統管理的操作與維護規范應包括以下內容：
a)對CA系統進行任何操作之前，應充分考慮并預計操作之后的結果，每次操作都必須記錄；
b)改變系統的配置，應制訂實施計劃和相關文檔說明，經上級主管批準后才能進行操作，操作時應有雙人在場；
c)系統出現故障時，應由系統管理人員檢查處理，其它人員未經批準不得處理；
d)未經批準不得在服務器上安裝任何軟件和硬件；
e)未經批準不得刪除服務器上的任何文件。

10.2.3.2　數據備份

數據備份的操作與維護規范應包括以下內容：
a)系統升級后，應立即進行全備份；
b)對數據變化量大的服務器，應每天做一次增量備份，每周做一次全備份；
c)對數據變化量少的服務器，可每周做一次備份；
d)對重要數據應準備兩套備份，其中異地存放一套；
e)對數據庫的備份應單獨進行；
f)對重要的目錄應單獨進行備份；
g)手工進行的備份，應在介質上標明備份的服務器及路徑；
h)自動進行的備份，應將備份介質有效區分；
i)選擇的備份介質應能保證數據的長期可靠，否則應定期更新。

10.2.3.3　口令管理

口令管理規范應包括以下內容：
a)口令長度應為8個字節以上，應是字母、數字和特殊字符組成的混合體，口令不得采用有特殊意義的（如姓名、生日、電話號碼等）數字和詞組；
b)設置口令時應對口令強度進行安全性檢查。
c)應規定口令的使用期限并定期更換；
d)口令應妥善保管，防止泄漏；
e)通過網絡傳輸的口令必須保護；
f)應檢查網絡設備、主機和應用程序中是否設置有缺省口令的缺省用戶名，找出并禁止。

10.2.3.4　應急處理

CA應制訂應急處理預案，當出現重大故障或災難性事故時，應啟動預定的應急處理方案進行處理。
應急處理預案應根據事件的嚴重程度、緊急程度和事件類別，分別規范告警、報告、保護、處置、善后、總結等處理流程和處置措施。
系統恢復正常運行后，應對應急處理過程進行總結，總結中應詳細記錄事件起因、處理過程、經驗教訓、改進建議等。

10.2.4　密鑰介質管理制度

密鑰介質管理制度包括密鑰介質的登記、出入庫、領用和初始化等方面的管理，要求對時間、地點、操作人員、操作內容、介質硬件規格等信息進行詳細記錄，并定期進行審計。

10.2.5　客戶服務規范

CA應對客戶提供全面、及時、有效的服務，保證客戶在證書使用過程中出現的任何問題都能及時得到響應和解決。